Oh, Du dummer „August“ – Smartes Türschloss einfach zu einladend

Zeichnung eines Schlüssels der in ein Schloss gesteckt wird
Schloss & Schlüssel (Nachweis freeimages.com by ba1969)

Ups, so sollte es eigentlich nicht sein: Laut einer Nachricht von heise-Online  vom 02.04.2015 war das smarte Türschloss „August Smart Lock“ doch nicht so „smart“ und ermöglichte theoretisch allen anderen Besitzern dieses Türschlosses auf Grund einer Sicherheitslücke den unbefugten Zutritt.

Ich bin auf folgenden Heise-Artikel gestoßen, und dachte mir, DAS muss in Dein Blog:

Laut des Heise-Berichts tauschten Hacker…äh…Sicherheitsforscher beim Anlegen von Gast-Konten lediglich die Seriennummern aus und schwuppdiwupp konnten sie sich per Web-API dann  Zutritt zu „fremden“ Schlössern verschaffen.

August-App servierte Seriennummern auf dem Silbertablett

Zur Ausführung eines erfolgreichen Angriffs auf das Türschloss muss dem „Einbrecher“ die Seriennummer des anzugreifenden Türschlosses bekannt sein.

Wer jetzt denkt: „Kein Problem, die Seriennummer MEINES Türschlosses kennt doch keine Sau!“ hat weit gefehlt:

Denn laut heise online war die Seriennummer für niemanden ein Geheimnis, da die zum Türschloss gehörige App des Herstellers August sogar nach August Smart Locks in der Umgebung suchen und deren Seriennummern in einer Logdatei speichern kann.

Angesichts dieser Umstände, ist es echt unglaublich erschreckend, dass solch eine gravierende Sicherheitslücke überaupt in die Software des Türschlosses gelangen konnte!!!!

Meiner Meinung nach ist das so UNGLAUBLICH DÄMLICH, dass es für mich nicht mehr in Worte zu fassen ist. In meinen Augen stellt dies für den Hersteller einer „smart lock“, die ja für eine fehlerfreie und sichere Zutrittskontrolle sorgen soll, ein absolutes Fiasko dar.

tl;dr

Smartes Türschloss unglaublich dumm. Der Hersteller „August“ lieferte sein Türschloss „August Smart Lock“ inklusive einer Sicherheitslücke aus, die Dritten bei Kenntnis der Seriennummer des zu öffnenden Türschlosses den Zugang verschaffte. Seriennummern umliegender Schlösser konnten zudem durch die herstellereigene Türschloss-App gescannt und in einer Logdatei abgelegt werden. Ein (Zutritts-)Fest für jeden Hacker – Prosit!

P.S.:

Immerhin war der Hersteller wohl so klug und hat die Sicherheitslücke innerhalb von 24 Std. entfernt, nachdem die Sicherheitsforscher ihn am 30. Januar 2015 auf diese Lücke aufmerksam gemacht hatten.

Quelle: http://heise.de/-2593822

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.